DE19508722A1 - Lizenzkartengesteuertes Chipkartensystem - Google Patents
Lizenzkartengesteuertes ChipkartensystemInfo
- Publication number
- DE19508722A1 DE19508722A1 DE19508722A DE19508722A DE19508722A1 DE 19508722 A1 DE19508722 A1 DE 19508722A1 DE 19508722 A DE19508722 A DE 19508722A DE 19508722 A DE19508722 A DE 19508722A DE 19508722 A1 DE19508722 A1 DE 19508722A1
- Authority
- DE
- Germany
- Prior art keywords
- chip card
- user
- aki
- processor
- chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/22—Payment schemes or models
- G06Q20/229—Hierarchy of users of accounts
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/355—Personalisation of cards for use
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Credit Cards Or The Like (AREA)
- Storage Device Security (AREA)
- Lock And Its Accessories (AREA)
Description
Chipkarten finden in stark steigendem Maße in unterschied
lichsten Bereichen des täglichen Lebens Anwendung. Dement
sprechend sind sehr große Mengen derselben im Umlauf. Üb
licherweise sind eine Vielzahl von Maßnahmen vorgesehen, um
nach der Ausgabe der Chipkarte, d. h. während der normalen Be
nutzung, Vermögensschäden insbesondere für den jeweiligen
Kartenbesitzer zu vermeiden. So muß z. B. nach einem Karten
verlust zumindest eine unbefugten Benutzung der Karte durch
beliebige Dritte verhindert werden.
Aufgrund der steigenden mengenmäßigen Verbreitung müssen aber
auch Maßnahmen vorgesehen werden, um einerseits insbesondere
größere Kartenmengen bereits vor deren einzelner Ausgabe an
die Endkunden zu schützen, und andererseits die Menge der
legal an Endkunden ausgegebenen bzw. z. B. pro Zeitraum oder
einem an einen Lizenzgeber bzw. Dienstleistungsbereitsteller
aktuell entrichteten Vergütungsbetrag maximal ausgebbaren
Karten zu überwachen bzw. zu begrenzen.
So werden Karten z. B. in u. U. sehr großen Mengen von einem
Kartenhersteller an einen Verteiler von Karten, z. B. an ein
Geldinstitut geschickt. Dieser Weg ist vergleichbar mit dem
Transport von größeren Geldmengen zwischen Banken, und somit
entsprechend gefährdet. Ferner ist es vielfach wünschenswert,
auch auf Seiten des Verteilers von Karten, die Anzahl der
z. B. pro Angestellten an Endkunden herausgebbaren Karten
genau zu überwachen, zu dokumentieren und zu begrenzen, um
auch hierbei die Gefahr von Mißbrauch möglichst aus zu
schließen. Da in der Regel mit der Abgabe einer Karte an
einen Endkunden die Inanspruchnahme von Leistungen durch
diesen ermöglicht wird, können durch Chipkarten, welche unter
Umständen in erhöhter Menge unzulässigerweise in den Umlauf
gebracht worden sind, erhebliche Vermögensschäden entstehen.
Der Erfindung liegt die Aufgabe zugrunde, ein Chipkartensy
stem anzugeben, bei dem einerseits die Anzahl der in den Um
lauf bringbaren Chipkarten genau beeinflußt werden kann, und
bei dem andererseits die normale, volle Funktionalität einer
jeden Chipkarte erst durch zusätzliche, insbesondere im Mo
ment von deren Ausgabe an einen Endbenutzer auszuführende An
passungen, herstellbar ist.
Die Aufgabe wird gelöst mit dem im Anspruch 1 angegebenen
Chipkartensystem. Vorteilhafte weitere Ausgestaltungen des
selben sind in den Unteransprüchen enthalten.
Die Erfindung und vorteilhafte weitere Ausgestaltungen des
selben werden anhand der nachfolgend kurz angeführten Figuren
näher erläutert. Dabei zeigt
Fig. 1 ein schematisches Strukturbild des erfindungsge
mäßen Chipkartensystems, und
Fig. 2 eine bevorzugte Ausführungsform des Chipkartensy
stems, bei der zur Freischaltung einer Anwender
chipkarte ein von dessen Betriebssystem für die
Ausführung von Anwenderbefehlsanweisungen benötig
ten Freigabedatensatzes in den nichtflüchtigen
Speicher geladen wird.
Das erfindungsgemäße Chipkartensystem verfügt prinzipiell
über zwei Typen von Chipkarten. Zum einen sind sogenannte An
wenderchipkarten AKn in der Regel in einer sehr großen Viel
zahl vorhanden. Im Beispiel der Fig. 1 sind einige davon
rechts oben aufgefächert dargestellt, wobei zur weiteren Er
läuterung auf die im Vordergrund dargestellte Anwenderchip
karte AKi Bezug genommen wird. Erfindungswesentlich ist ein
weiterer Chipkartentyp vorhanden, welcher die Funktion einer
Freischaltkarte hat und im Folgenden als sogenannte Lizenz
karte bezeichnet werden soll. Von diesem Chipkartentyp sind
naturgemäß nur sehr wenige im Besitz von ausgewählten, beson
ders legitimierten Personen. Möglicherweise ist sogar nur
eine einzige derartige Karte im Umlauf. Im Beispiel der Fig.
1 ist eine derartige Lizenzchipkarte LK links oben darge
stellt.
Vorteilhaft sind alle Karten des Chipkartensystems hardware
mäßig identisch, und unterscheiden sich in der Art des je
weils ausführbaren Anwenderprogrammes. Hierdurch wird die
Herstellung der Chipkarten des Systems erheblich vereinfacht.
Dementsprechend verfügen im Beispiel der Fig. 1 sowohl die
Anwenderchipkarten AKi als auch die beispielhaft eine Lizenz
chipkarte LK über die gleichen Hardwareelemente. Diese sind
jeweils im wesentlichen ein interner Prozessor P, ein nicht
flüchtiger Speicher S zumindest zur Aufnahme für ein Be
triebssystem des Prozessors P, eine Schnittstelle DS zum Da
tenaustausch mit einer Schreib-Lesestation AKG, welche z. B.
in Form eines Kontaktfeld zum berührungsbehafteten Datenaus
tausch oder in Form einer Antenne zum berührungslosen Daten
austausch ausgeführt sein kann, und chipkarteninterner Daten
bus DS.
Gemäß der Erfindung sind die Anwenderchipkarten AKn so or
ganisiert, daß deren Prozessor P jeweils erst nach einer
Freischaltung Anwenderbefehlsanweisungen ausführen kann, wäh
rend im nichtflüchtigen Speicher S der zumindest einen Li
zenzkarte LK eine begrenzbare Anzahl von freischaltbaren An
wenderchipkarten AKn verwaltbar ist. Schließlich verfügt das
erfindungsgemäße Chipkartensystem über mindestens eine
Schreib-Lesestation AKG für Chipkarten LK bzw. AKn, worüber
in einer Anwenderchipkarte AKi die Freischaltung des internen
Prozessors P wirkt wird, wenn im Speicher S der Lizenzkarte
LK die maximale Anzahl der freischaltbaren Anwenderchipkarten
Akn noch nicht erschöpft ist. Nach einer erfolgreichen Frei
schaltung wird im Speicher S der Lizenzchipkarte LK wiederum
mit Hilfe der Schreib-Lesestation AKG eine Dekrementierung
der Anzahl freischaltbarer Anwenderchipkarten Akn bewirkt.
Zum Datenaustausch zwischen einer Lizenzchipkarte LK und
einer aktuell zu bearbeitenden Anwenderchipkarte AK müssen
beide Chipkarten z. B. bei einer berührungslosen Datenüber
tragung in den Sendebereich der Schreib-Lesestation AKG ge
bracht werden. Bei einem berührungsbehafteten Datenaustausch
kann es notwendig sein, die Chipkarten u. U. sukzessive mehr
mals abwechselnd in die Schreib-Lesestation AKG einzuführen
und wieder zu entnehmen. Bei der in Fig. 1 dargestellten
Ausführung weist die Schreib-Lesestation AKG beispielsweise
zwei Kartenleseeinheiten auf. Die erste Kartenleseeinheit KL1
dient zur Aufnahme der Lizenzchipkarte LK, während die zweite
Kartenleseeinheit KL2 zur Aufnahme einer Anwenderchipkarte
AKi dient. In einem solchen Fall ist für eine Freischaltung
einer Anwenderchipkarte vorteilhaft kein Wechsel von Chip
karten notwendig.
Bei einer bevorzugten Ausführungsform der Erfindung wird vom
Prozessor P einer Anwenderchipkarte AKi zur Auslösung einer
Freischaltung zunächst eine Zufallszahl Z erzeugt und mittels
der Schreib-Lesestation AKG an die Lizenzchipkarte LK über
tragen. Ein derartiger Fall ist im Beispiel der Fig. 1 mit
Hilfe von gekrümmten Pfeilen dargestellt, welche die jewei
lige Richtung des Datenüberganges zwischen der Datenschnitt
stelle DS der jeweiligen Chipkarte und der Schreib-Lesesta
tion AKG anzeigen. So wird eine Zufallszahl Z von der Anwen
derchipkarte AKi über die Kartenleseeinheit KL2 gelesen, und
mittels der in den Speicher S der Lizenzchipkarte LK geladen.
Vom Prozessor P der Lizenzchipkarte LK wird dann für den
Fall, daß die Anzahl der im nichtflüchtigen Speicher S ent
haltenen, freischaltbaren Anwenderchipkarten Akn noch nicht
erschöpft ist, eine von der jeweiligen Zufallszahl abhängige
Freigabekennung FDi(Z) generiert, über die Kartenleseeinheit
KL1 in die Schreib-Lesestation AKG geladen und schließlich
über die Kartenleseeinheit KL2 in die Anwenderchipkarte AKi
rückgeschrieben. Vom Prozessor P der Anwenderchipkarte AKi
wird die Freigabekennung FDi auf Korrespondenz mit der Zu
fallszahl überprüft und bei positivem Ausgang der Prüfung
eine Aktivierung des gesamten Satz zulässiger Anwenderbe
fehlsanweisungen bewirkt. Für den Fall, daß die Anzahl frei
gebbarer Anwenderchipkarten verbraucht ist, wird von der Li
zenzchipkarte entweder kein Freigabekennung oder eine ungül
tige, d. h. in z. B. einer unzulässigen Weise mit der Zufalls
zahl verknüpfte Freigabekennung an die anfordernde Anwender
chipkarte übermittelt.
Bei dieser Ausführung der Erfindung aktivieren sich somit die
Anwenderchipkarten AKn nach erfolgreichem Empfang einer zu
lässigen Freigabekennung selbst.
Die Erfindung weist somit den doppelten Vorteil auf, daß An
wenderchipkarten einerseits vor einer Freischaltung voll
kommen unbrauchbar sind, und andererseits die Freischaltung
von Anwenderchipkarten mit Hilfe des Systems der Lizenzchip
karte in einem eng begrenzbaren Rahmen genau überwachbar ist.
Bei einer anderen Ausführung des erfindungsgemäßen Chipkar
tensystems erfolgt die Freischaltung einer Anwenderchipkarte
AKi durch Übertragung eines vom Betriebssystem für die Aus
führung von Anwenderbefehlsanweisungen benötigten Freigabe
datensatzes in den nichtflüchtigen Speicher der Anwender
chipkarte AKi über die Schreib-Lesestation AKG. In diesem
Fall sind die Anwenderchipkarten nicht in der Lage, sich
selbst zu aktivieren. Vielmehr wird der Freigabedatensatz für
die Erreichung der vollen Funktionsfähigkeit zwingend benö
tigt.
In diesem Fall wird vom Prozessor P einer Anwenderchipkarte
AKi zur Auslösung einer Freischaltung vorteilhaft wiederum
zunächst eine Anforderung auf Übermittlung eines Freigabeda
tensatzes FDi mittels der Schreib-Lesestation AK an die Li
zenzchipkarte (LK) übertragen. Vom Prozessor P der Lizenz
chipkarte LK wird dann für den Fall, daß die Anzahl frei
schaltbarer Anwenderchipkarten AKn im nichtflüchtigen Spei
cher S noch nicht erschöpft ist, ein Freigabedatensatz FDi
abgerufen bzw. generiert und wiederum mittels der Schreib-
Lesestation AKG an die Anwenderchipkarte AKi übertragen.
Dieser wird vom Prozessor P der Anwenderchipkarte AKi
schließlich zur Ermöglichung des Betriebs des gesamten Satzes
zulässiger Anwenderbefehlsanweisungen des Betriebssystems in
den zumindest das Betriebssystem der Anwenderchipkarte AKi
enthaltenden nichtflüchtigen Speicher S ordnungsgemäß einge
bunden.
Bei diese Ausführung der Erfindung ist die Sicherheit gegen
über unzulässigen Manipulationen weiter verbessert, da die
Anwenderchipkarten ohne einen gegebenenfalls zusätzlich auf
die jeweilige Anwenderchipkarte individualisierte Freigabe
datensatz datentechnisch keinesfalls funktionsfähig sind und
somit auch nicht in einer unbefugten Weise freigeschaltet
werden können.
Diese Ausführung des erfindungsgemäßen Chipkartensystems wird
nachfolgend unter Heranziehung des Beispieles von Fig. 2
näher erläutert. Dabei dient als Freigabedatensatz bevorzugt
eine betriebssystemspezifische Kommandotabelle KTB im nicht
flüchtigen Programmspeicher S des Prozessors dient, womit die
Zuordnung adr 1 . . . adr k . . . adr n von Anwenderbefehlsanwei
sungen AWB x zu den diese jeweils ausführenden Teilen des Be
triebssystems BSC der Anwenderchipkarte AKi hergestellt wird.
Darüber hinausgehend kann es vorteilhaft sein, wenn der in
terne Prozessor P und ein zur Aufnahme eines Betriebssystems
zum Betrieb des Prozessors P, und hierüber wiederum gegebe
nenfalls weiterer Funktionselemente der Anwenderchipkarte,
wie z. B. Energieversorgung, Datenschnittstelle zum Austausch
von Daten zwischen der Chipkarte und externen Schreib- und
Lesestationen u. dgl., dienender nichtflüchtigter Programm
speicher S so aufeinander abgestimmt, daß die Anwenderchip
karte nach ihrer Herstellung nur eine Befehlsanweisung aus
führen kann, wenn sie erstmalig mit einer Schreib-Lesestation
in datentechnische Verbindung gebracht wird. Diese Befehls
anweisung bewirkt das Nachladen einer betriebssystemspezi
fischen Kommandotabelle in den nichtflüchtigen Speicher des
Prozessors. Erst nach erfolgreicher Beendigung dieser Lade
operation ist eine Zuordnung von weiteren, insbesondere über
externe Schreib-Lesestationen der Anwenderchipkarte zugeführ
ten Anwenderbefehlsanweisungen zu den für deren Ausführung
vorgesehenen, jeweiligen Betriebssystemteilen möglich. Die
Ausführung der für eine ordnungsgemäße Funktionsfähigkeit der
Anwenderchipkarte gehörigen Befehlsanweisungen in Bezug auf
alle während der Normalnutzung maximal möglichen Operationen
ist somit erst nach Einbindung der Kommandotabelle möglich.
Diese Ausführung bietet den Vorteil, daß u. U. auch sehr große
Mengen frisch hergestellter Anwenderchipkarten nahezu voll
kommen unbrauchbar sind. Die Ermöglichung der Gebrauchsfer
tigkeit erfolgt vielmehr separat für jede einzelne Chipkarte
meist erst unmittelbar vor deren Übergabe an den berechtigten
Endbenutzer. Neu hergestellte Chipkarten, in deren nicht
flüchtigem Speicher bzw. anderen Speicherbereichen zwar die
Codierung der aufeinanderfolgenden Betriebssystembefehls
anweisungen geladen ist, sind deswegen nicht funktionsfähig,
weil aufgrund der fehlenden Kommandotabelle eingehende Anwen
derbefehlsanweisungen nicht identifiziert und der bzw. die zu
deren Ausführung benötigten Betriebssystemteile wegen der
nicht vorhandenen, dazugehörigen Verzweigadressen nicht akti
viert werden können. Praktisch ist es mit vernünftigem Zeit- und
Mittelaufwand nahezu nicht möglich, in der Art eines
Reverse-Engineering die funktionelle Struktur des Betriebs
systems so zu rekonstruieren, daß die zur Ausführung einzel
ner Anwenderbefehlsanweisung gehörigen Teile und deren mög
liche Wechselwirkungen in Form von Einsprungadressen zu
gänglich werden.
Die Gestaltung einer Anwenderchipkarte gemäß dieser Ausfüh
rung der Erfindung bietet den Vorteil, daß die Chipkarte vor
deren Autorisierung durch Nachladen der Kommandotabelle meist
unmittelbar vor Übergabe in den Herrschaftsbereich des neuen
Besitzers nahezu gegen jede Art von unbefugtem Gebrauch ge
schützt ist, ohne daß aufwendige Maßnahmen im Hard- oder
Softwarebereich der Chipkarte vorgesehen werden müßten,
welche die Herstellung der Chipkarte verteuern und deren Ge
brauchsfähigkeit möglicherweise einschränken würden. Einer
seits ist auf einfache Weise möglich, die Chipkarte zur
alleinigen Ausführbarkeit des Ladebefehls für die Kommando
tabelle zu ertüchtigen. Andererseits bereitet das Nachladen
der Kommandotabelle datentechnisch für eine befugterweise im
Besitz des Codes der Kommandotabelle befindliche Einrichtung,
wie z. B. eine Bank, keinerlei Probleme. Bei diesem Vorgang
können bei Bedarf gleichzeitig auch beliebige weitere, die
jeweilige Chipkarte z. B. bezüglich des neuen Benutzers indi
vidualisierende Daten übertragen werden.
Neben der Verhinderung unbefugter Benutzung von Anwenderchip
karten vor deren Übergabe in den normalen Gebrauch wird durch
die Erfindung auch unterbunden, daß in dieser Zwischenphase
in den bei der Herstellung auf die Anwenderchipkarten aufge
brachten Programmcode selbst, insbesondere der Code des Be
triebssystems, in unbefugter Weise Einsicht genommen bzw.
dieser unbefugt oder unprofessionell verändert wird.
Zur Erläuterung ist auf der rechten Seite der Fig. 2 bei
spielhaft in anschaulicher Tabellenform ein Ausschnitt aus
der Sequenz der aufeinanderfolgenden Anweisungen eines Be
triebssystemcodes BSC dargestellt. Dabei ist gedanklich die
Tabelle sowohl nach oben als auch nach unter fortzusetzen.
Der Ausschnitt zeigt beispielhaft eine vorangehende Ein
sprungadresse adr k-1 und eine darauf folgende Einsprung
adresse adr k. Die einer dieser Einsprungsadressen zugeord
nete Zeile des Betriebssystembefehlscodes und die bis zur
nächsten Einsprungadresse darauf folgenden Zeilen des Be
triebssystembefehlscodes bilden eine Gruppe, welche die Aus
führung eines bestimmten Anwenderkommandos bewirkt.
Im Beispiel der Fig. 2 wird der Anwenderchipkarte ein ak
tuelles Anwenderkommando AWB x bevorzugt von einer externen
Schreib-Lesestation zugeführt. Dieses soll vom Betriebssystem
ausgeführt werden. Hierzu wird eine Kommandotabelle KTB be
nötigt, welche quasi einen den Zugang zu den funktionellen
Teileinheiten des Betriebssystems BSC ermöglichenden Schlüs
sel darstellt. Beispielhaft besteht jede Zeile der Kommando
tabelle KTB aus einem ersten Codeteil bic k, welcher zur
Interpretation, d. h. zur Erkennung des Typs, des aktuellen
Anwenderkommandos AWB x dient, und aus einem zweiten Codeteil
adr k, welcher die Startadresse der dazugehörigen Betriebs
systembefehlssequenz enthält. Die Kommandotabelle KTB besteht
somit aus einer ersten Teiltabelle BIT, welche die zur Be
fehlsinterpretation dienenden Codes bic 1, bic 2, bic 3 . . . bic
k . . . bic n-1, bic n enthält, und aus einer zweiten Teil
tabelle BSC, welche die dazugehörigen Einsprungsadressen adr
1, adr 2, adr 3 . . . adr k . . . adr n-1, adr n der entsprechen
den Betriebssystemsequenzen enthält.
Bei dem in der Fig. 2 dargestellten Beispiel wird ein mit
AWB x bezeichnetes Anwenderkommando der Anwenderchipkarte
zugeführt. Dieses wird durch die Codierung bic k als zuläs
siger Befehl erkannt, was in der Figur durch eine strich
lierte Linie auf der linken Seite der Kommandotabelle KTB
dargestellt ist. Nun wird die dazugehörige Einsprungadresse
adr k aktiviert und hierdurch der Code des Betriebssystems
BSC von Beginn bei der Einsprungadresse adr k an ausgeführt.
In der Figur ist der Aufruf der zum Anwenderkommando AWB x
gehörenden Betriebssystemsequenz durch einen von der ent
sprechenden Zelle der Kommandotabelle KTB bis zur Einsprung
adresse adr k verlaufenden Pfeil SBS dargestellt. Es ist zu
erkennen, daß ohne die Brückenfunktion einer Kommandotabelle
KTB kein Anwenderkommando AWB x ausführbar ist, da keine Zu
ordnung desselben zu dem dazugehörigen Teil des Betriebs
systems möglich ist. Diese erfindungsgemäße Ausgestaltung
einer Anwenderchipkarte stellt somit einen außerordentlich
wirksamen Schutz gegen unbefugte Benutzung frisch herge
stellter Chipkarten dar.
Schließlich kann der Datenaustausch zwischen einer Anwender
chipkarte AKi und der Lizenzchipkarte (LK mittels der
Schreib-Lesestation AKG) vorteilhaft in einer kryptologisch
verschlüsselten Form erfolgen.
Claims (7)
1. Chipkartensystem, dessen Chipkarten (AK, LK) jeweils min
destens einen internen Prozessor (P) und einen nicht
flüchtigen Speicher (S) zumindest für ein Betriebssystem
des Prozessors (P) aufweisen, mit
- 1.1 einer Vielzahl von Anwenderchipkarten (AKn), deren Prozessor (P) jeweils erst nach einer Freischaltung Anwenderbefehlsanweisungen ausführen kann,
- 1.2 zumindest einer Lizenzchipkarte (LK), in deren nichtflüchtigen Speicher (S) eine begrenzbare An zahl von freischaltbaren Anwenderchipkarten (AKn) verwaltbar ist, und mit
- 1.3 mindestens einer Schreib-Lesestation (AKG) für
Chipkarten (LK), worüber
- 1.3.1 in einer Anwenderchipkarte (AKi) die Frei schaltung des internen Prozessors (P) wirkt wird, wenn im Speicher (S) der Lizenzchip karte (LK) die Anzahl der freischaltbaren Anwenderchipkarten (Akn) noch nicht erschöpft ist, und
- 1.3.2 im Speicher (S) der Lizenzchipkarte (LK) eine Dekrementierung der Anzahl freischaltbarer Anwenderchipkarten (Akn) bewirkt wird.
2. Chipkartensystem nach Anspruch 1, wobei die mindestens
eine Lizenzchipkarte (LK) und die Anwenderchipkarten
(AKn) hardwaremäßig identisch sind.
3. Chipkartensystem nach Anspruch 1 oder 2, wobei
- 3.1 vom Prozessor (P) einer Anwenderchipkarte (AKi) zur Auslösung einer Freischaltung zunächst eine Zu fallszahl erzeugt und mittels der Schreib-Lese station (AKG) an die Lizenzchipkarte (LK) über tragen wird,
- 3.2 vom Prozessor (P) der Lizenzchipkarte (LK) für den Fall, daß die Anzahl freischaltbarer Anwenderchipkarten (Akn) im Speicher (S) noch nicht erschöpft ist, eine von der jeweiligen Zufallszahl abhängige Freigabekennung (FDi) generiert und mit tels der Schreib-Lesestation (AKG) an die Anwender chipkarte (AKi) übertragen wird, und
- 3.3 vom Prozessor (P) der Anwenderchipkarte (AKi) die Freigabekennung (FDi) auf Korrespondenz mit der Zufallszahl überprüft und bei positivem Ausgang der Prüfung eine Aktivierung des gesamten Satz zulässi ger Anwenderbefehlsanweisungen bewirkt wird.
4. Chipkartensystem nach einem der Ansprüche 1 oder 2,
wobei die Freischaltung einer Anwenderchipkarte (AKi)
durch Übertragung eines vom Betriebssystem für die Aus
führung von Anwenderbefehlsanweisungen benötigten Frei
gabedatensatzes in den nichtflüchtigen Speicher der An
wenderchipkarte (AKi) über die Schreib-Lesestation (AKG)
erfolgt.
5. Chipkartensystem nach Anspruch 3, wobei
- 5.1 vom Prozessor (P) einer Anwenderchipkarte (AKi) zur Auslösung einer Freischaltung zunächst eine Anfor derung auf Übermittlung eines Freigabedatensatzes (FDi) mittels der Schreib-Lesestation (AKG) an die Lizenzchipkarte (LK) übertragen wird,
- 5.2 vom Prozessor (P) der Lizenzchipkarte (LK) für den Fall, daß die Anzahl freischaltbarer Anwenderchip karten (AKn) im Speicher (S) noch nicht erschöpft ist, ein Freigabedatensatz (FDi) generiert und mit tels der Schreib-Lesestation (AKG) an die Anwender chipkarte (AKi) übertragen wird, und
- 5.3 vom Prozessor (P) der Anwenderchipkarte (AKi) der Freigabedatensatz zur Aktivierung des gesamten Satzes an zulässigen Anwenderbefehlsanweisungen des Betriebssystems in den zumindest das Betriebssystem der Anwenderchipkarte (AKi) enthaltenden nicht flüchtigen Speicher (S) für geladen wird.
6. Chipkartensystem nach Anspruch 4 oder 5, wobei als Frei
gabedatensatz eine betriebssystemspezifische Kommando
tabelle (KTB) im nichtflüchtigen Programmspeicher des
Prozessors dient, womit die Zuordnung (adr 1 . . . adr k
. . . adr n) von Anwenderbefehlsanweisungen (AWB x) zu den
diese jeweils ausführenden Teilen des Betriebssystems
(BSC) der Anwenderchipkarte (AKi) hergestellt wird.
7. Chipkartensystem nach einem der vorangegangenen An
sprüche, wobei der Datenaustausch zwischen einer Anwen
derchipkarte (AKi) und der Lizenzchipkarte (LK) mittels
der Schreib-Lesestation (AKG) in einer kryptologisch
verschlüsselten Form erfolgt.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19508722A DE19508722A1 (de) | 1995-03-10 | 1995-03-10 | Lizenzkartengesteuertes Chipkartensystem |
EP96904753A EP0813722B1 (de) | 1995-03-10 | 1996-03-07 | Lizenzkartengesteuertes chipkartensystem |
PCT/DE1996/000422 WO1996028793A2 (de) | 1995-03-10 | 1996-03-07 | Lizenzkartengesteuertes chipkartensystem |
AT96904753T ATE171000T1 (de) | 1995-03-10 | 1996-03-07 | Lizenzkartengesteuertes chipkartensystem |
DE59600545T DE59600545D1 (de) | 1995-03-10 | 1996-03-07 | Lizenzkartengesteuertes chipkartensystem |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19508722A DE19508722A1 (de) | 1995-03-10 | 1995-03-10 | Lizenzkartengesteuertes Chipkartensystem |
Publications (1)
Publication Number | Publication Date |
---|---|
DE19508722A1 true DE19508722A1 (de) | 1996-09-12 |
Family
ID=7756354
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19508722A Withdrawn DE19508722A1 (de) | 1995-03-10 | 1995-03-10 | Lizenzkartengesteuertes Chipkartensystem |
DE59600545T Expired - Lifetime DE59600545D1 (de) | 1995-03-10 | 1996-03-07 | Lizenzkartengesteuertes chipkartensystem |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE59600545T Expired - Lifetime DE59600545D1 (de) | 1995-03-10 | 1996-03-07 | Lizenzkartengesteuertes chipkartensystem |
Country Status (4)
Country | Link |
---|---|
EP (1) | EP0813722B1 (de) |
AT (1) | ATE171000T1 (de) |
DE (2) | DE19508722A1 (de) |
WO (1) | WO1996028793A2 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004088569A2 (fr) * | 2003-03-17 | 2004-10-14 | Oberthur Card Systems S.A. | Procede de communication entre diverses entites electroniques |
EP2105892A1 (de) | 2008-03-28 | 2009-09-30 | Incard SA | Vorrichtung und Verfahren zur Initialisierung einer IC-Karte |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2848364B1 (fr) * | 2002-12-09 | 2005-03-11 | Oberthur Card Syst Sa | Procede de personnalisation securisee d'un objet |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3041393C2 (de) * | 1980-11-03 | 1984-05-17 | Stockburger, Hermann, 7742 St Georgen | Verfahren zum Erstellen einer vorgegebenen Anzahl von ein Speichermedium aufweisenden Berechtigungskarten |
DE4115152A1 (de) * | 1991-05-08 | 1992-11-12 | Gao Ges Automation Org | Datenschuetzende mikroprozessorschaltung fuer tragbare datentraeger, beispielsweise kreditkarten |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS6356785A (ja) * | 1986-08-28 | 1988-03-11 | Toshiba Corp | 携帯可能記憶媒体処理装置 |
GB8827288D0 (en) * | 1988-11-22 | 1988-12-29 | Byron R S | Articles to be worn |
DE4034783C2 (de) * | 1990-11-02 | 1994-03-03 | Duerrwaechter E Dr Doduco | Zugangskontrollvorrichtung |
GB9212266D0 (en) * | 1992-06-10 | 1992-07-22 | Racal Datacom Ltd | Access control |
JP2935613B2 (ja) * | 1992-10-15 | 1999-08-16 | 沖電気工業株式会社 | Icカードおよびicカードシステム |
JPH0744672A (ja) * | 1993-07-28 | 1995-02-14 | Oki Electric Ind Co Ltd | Icカード及びicカードシステム |
-
1995
- 1995-03-10 DE DE19508722A patent/DE19508722A1/de not_active Withdrawn
-
1996
- 1996-03-07 WO PCT/DE1996/000422 patent/WO1996028793A2/de active IP Right Grant
- 1996-03-07 AT AT96904753T patent/ATE171000T1/de not_active IP Right Cessation
- 1996-03-07 DE DE59600545T patent/DE59600545D1/de not_active Expired - Lifetime
- 1996-03-07 EP EP96904753A patent/EP0813722B1/de not_active Expired - Lifetime
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3041393C2 (de) * | 1980-11-03 | 1984-05-17 | Stockburger, Hermann, 7742 St Georgen | Verfahren zum Erstellen einer vorgegebenen Anzahl von ein Speichermedium aufweisenden Berechtigungskarten |
DE4115152A1 (de) * | 1991-05-08 | 1992-11-12 | Gao Ges Automation Org | Datenschuetzende mikroprozessorschaltung fuer tragbare datentraeger, beispielsweise kreditkarten |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004088569A2 (fr) * | 2003-03-17 | 2004-10-14 | Oberthur Card Systems S.A. | Procede de communication entre diverses entites electroniques |
WO2004088569A3 (fr) * | 2003-03-17 | 2004-12-09 | Oberthur Card Syst Sa | Procede de communication entre diverses entites electroniques |
US9002325B2 (en) | 2003-03-17 | 2015-04-07 | Oberthur Technologies | Method of communicating between different electronic entities |
EP2105892A1 (de) | 2008-03-28 | 2009-09-30 | Incard SA | Vorrichtung und Verfahren zur Initialisierung einer IC-Karte |
US8191790B2 (en) | 2008-03-28 | 2012-06-05 | Incard S.A. | Apparatus and method for initializing an IC card |
Also Published As
Publication number | Publication date |
---|---|
WO1996028793A2 (de) | 1996-09-19 |
DE59600545D1 (de) | 1998-10-15 |
EP0813722B1 (de) | 1998-09-09 |
ATE171000T1 (de) | 1998-09-15 |
WO1996028793A3 (de) | 1997-01-03 |
EP0813722A2 (de) | 1997-12-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE68913284T2 (de) | Tragbare elektronische Vorrichtung und Verfahren zum Kollationieren ihrer geheimen Informationen. | |
DE69835879T2 (de) | Multifunktionschipkarte mit delegierungsmerkmal | |
DE69823649T2 (de) | Multi-anwendungs ic-kartensystem | |
DE68915300T3 (de) | Chipkarte und Verfahren zum Einschreiben seines Arbeitsprogramms. | |
DE19536169A1 (de) | Multifunktionale Chipkarte | |
DE2512902A1 (de) | System zur uebertragung von daten mit hilfe eines unabhaengigen tragbaren gegenstandes und einer autonomen registriervorrichtung | |
DE3807997A1 (de) | Ic-karte mit interner fehlerpruefung | |
DE69821545T2 (de) | Elektronische Geldkarte, Empfangs-/Auszahlungsmaschine für elektronisches Geld und Editiervorrichtung für eine elektronische Geldkarte | |
WO1997001147A2 (de) | Verfahren zur vereinfachung der kommunikation mit chipkarten | |
DE3318101A1 (de) | Schaltungsanordung mit einem speicher und einer zugriffskontrolleinheit | |
DE1499687B2 (de) | Speicherschutz-einrichtung | |
DE3809795C2 (de) | ||
EP0813723B1 (de) | Chipkarte mit geschütztem betriebssystem | |
EP1196902B1 (de) | Verfahren zum betreiben eines zur ausführung von nachladbaren funktionsprogrammen ausgebildeten datenträgers | |
EP0224639A1 (de) | Verfahren zum Kontrollieren eines Speicherzugriffs auf einer Chipkarte und Anordnung zur Durchführung des Verfahrens | |
EP0813722B1 (de) | Lizenzkartengesteuertes chipkartensystem | |
DE10048939B4 (de) | Bedingte Unterdrückung der Überprüfung eines Karteninhabers | |
EP1634252B1 (de) | Verfahren zum laden von tragbaren datenträgern mit daten | |
EP0977160B1 (de) | Verfahren und Datenverarbeitungsanordnung zum gesicherten Ausführen von Befehlen | |
EP0818749A2 (de) | Verfahren und System zum Sichern von Daten | |
DE60220020T2 (de) | Biometrisches identifikations- oder authentifikationssystem | |
EP2740070B1 (de) | Mechanismus zur kommunikation zwischen zwei applikationen auf einem sicherheitsmodul | |
EP1308842A2 (de) | Verfahren und Vorrichtung zur Verwaltung eines Datenspeichers | |
DE102021000603A1 (de) | Chip-Initialisierung mit Betriebssystemladen | |
DE102005027709A1 (de) | Verfahren zum Betreiben eines tragbaren Datenträgers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8139 | Disposal/non-payment of the annual fee |